Des chercheurs en sécurité ont tiré la sonnette d’alarme sur une nouvelle faille zero-day dans Internet Explorer. Une vulnérabilité qui aurait été déjà exploitée.
La faille, présente dans les versions 6, 7, 8 et 9 d’IE sur Windows XP, Vista, et Windows 7, a été découverte de week-end par le scientifique Eric Romang. Dans un billet de blog, il explique d’ailleurs que le gang Nitro - le même groupe qui a apparemment exploité la très récente faille Java zero-day dans des attaques ciblées - pourrait être connecté à cette faille IE.
Selon les chercheurs de Rapid7, les utilisateurs peuvent se faire infecter leur machine, simplement en visitant un site malicieux. Dans un billet de blog, ils rapportent des exploits déjà visibles.
Dans un bulletin de sécurité référencé 2757760, Microsoft confirme bien des attaques ciblées, essayant d’exploiter la vulnérabilité.
«La vulnérabilité peut corrompre la mémoire de façon à permettre à un attaquant d’exécuter du code arbitraire dans Internet Explorer», souligne l’éditeur. «Un attaquant pourrait héberger un site Web corrompu, conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur de visiter ce même site.»
La faille pourrait également être exploitée en intégrant du code malicieux embarqué dans du contenu ou dans des publicités en ligne sur des sites non infectés, précise Microsoft.
L’éditeur de Redmond n’entend pas proposer un correctif hors de ses cycles de mises à jour de sécurité.
En attendant le précieuse rustine, Rapid7 recommande aux utilisateurs de passer à un autre navigateur, comme Chrome ou Firefox. Ils rappellent que le module d’exploit a été ajouté aux outils de test de pénétration Metasploit pour permettre aux responsables sécurité de tester leurs systèmes.
Traduit de l'anglais par la rédaction
18 sept. 2012